Autenticación EAP PDF

Preview

Summary

Autenticación EAP en redes WLAN...

Description

Métodos de autenticación EAP Universidad de las Fuerzas Armadas ESPE

Introducción El protocolo Extensible Authentication Protocol (EAP) es usado para pasar información entre un suplicante (cliente) y un servidor de autenticación. La forma en la que un suplicante se autentica en una red depende del tipo de EAP implementado.

Resumen En el presente documento se realiza una descripción breve de los métodos de autenticación especificados por la IEEE 802.1x para la seguridad de redes WLAN. Principalmente enfocándose hacia los protocolos de autenticación extendidos (EAP).

Marco Teórico Protocolo IEEE 802.1X El protocolo IEEE 802.1X es un protocolo de acceso a puertos que protege el acceso a una red mediante autenticación. Por lo tanto este método de autenticación es extremadamente útil cuando se trata de WLANs ya que debido a su naturaleza inalámbrica las vuelven más fáciles de acceder que las ya conocidas redes LAN. El término 802.1x define la encapsulación de EAP dentro de la IEEE 802. Partes necesarias para establecer una WLAN segura Para establecer una WLAN con protocolos de autenticación extendidos (EAP) existen tres elementos

fundamentales con los que se debe contar. Suplicant Es un software que está instalado en el cliente, o estación de trabajo. Este software debe ser compatible con todos los protocolos establecidos para la conexión segura, caso contrario sus peticiones serán ignoradas. Si el dispositivo no cuenta con un software compatible con alguno de los protocolos deberá instalar un sistema que le brinde soporte. Hay que tener en cuenta que en caso de usar EAP-TLS, el suplicante deberá tener instalada la clave del servidor para confirmar la identidad de la red. Punto de acceso (Autenticador) El punto de acceso debe tener activado el servicio 802.1x, además debe estar configurado como cliente, es decir, debe saber la dirección IP del servidor RADIUS al cual deberá pasar la información de autenticación según el protocolo que deberá seguir. Servidor de autenticación El servidor de autenticación deberá ejecutar software que le permita comprobar las claves enviadas por el cliente. Además de permitirle seleccionar el tipo de protocolo a usarse para la autenticación de dispositivos. También deberá tener acceso a la base de datos donde se encuentren las credenciales de los usuarios de la red. Tipos de EAP

EAP-MD5: es un tipo de autenticación que provee un nivel básico de EAP. No se recomienda para redes WLAN porque puede permitir que las contraseñas sean filtradas. EAP-TLS (Transport Layer Security): provee una autenticación mutua del cliente y de la red basada en certificados. Se basa en certificados tanto en el lado del cliente como en el lado del servidor para realizar la autenticación. Se puede usar para generar de forma dinámica llaves WEP basadas en usuario y sesión. EAP-TTLS (Tunneled Transport Layer Security): fue desarrollao por Funk Software y Certicom como extensión del EAP-TLS. Este método provee una autenticación mutua del cliente y la red basada en certificados a través de un túnel encriptado. A diferencia de EAP-TLS, este método solo requiere certificados instalados en el servidor. Este protocolo admite todos los métodos definidos por EAP, al igual que otros métodos antiguos como PAP, CHAP, MS-CHAP y MS-CHAP-V2. Puede ser ampliado con facilidad para trabajar con nuevos protocolos. PEAP (Protected Extensible Authentication Protocol): provee un método para transportar de forma segura los datos de autenticación, incluidos los protocolos basados en contraseña. Esto se logra a través del uso de un túnel directo entre los clientes y el servidor de autenticación.

Ventajas MD5  No requiere un certificado instalado en el lado del cliente.

 TLS   

Fácil de implementar Provee autenticación mutua del cliente y la red Provee manejo de llaves WEP Provee seguridad a un nivel sumamente elevado

TTLS  No requiere certificados en la parte del cliente.  Provee el manejo de llaves WEP.  Provee autenticación mutua entre cliente y red.  Provee seguridad a un nivel alto.  No requiere certificados. PEAP  No requiere certificados en el cliente.  Permite el manejo de llaves WEP  Permite autenticación mutua de cliente y red  Grado de seguridad elevado

Desventajas MD5  Autenticación en un solo sentido.  Nivel muy bajo de seguridad.  No detecta puntos de acceso no autorizados.  No permite el manejo de llaves WEP. TLS  Implementación compleja  Requiere certificados del lado del cliente  No detecta puntos de acceso no autorizados.  Requiere de un grupo más grande para la administración de certificados. TTLS  No detecta puntos de acceso no autorizados.

 

Se debe pagar por el software del suplicante y del servidor. Complejidad moderada de instalación.

Procedimientos implementación

de

MD5 El protocolo MD5 dejó de ser compatible a partir de Windows Vista. Sin embargo para volver compatibles a los ordenadores con este protocolo bastará modificar los registros como se indica a continuación. Hay que recalcar que este método solo servirá en Windows Vista.

TLS Para la implementación de EAP-TLS es necesario implementar una Certification Authority (CA), esto se puede conseguir mediante el uso de herramientas como por ejemplo OpenSSL. Esta herramienta es la encargada de emitir los certificados digitales de los dispositivos de red que requieran comprobar su identidad. Para que un cliente pueda tener confianza con CA de la red, será necesario que tenga instalado en su sistema el certificado raíz de la CA, pudiendo comprobar la validez de un certificado de terceros, que en este caso será un servidor RADIUS.

De esta forma se logra establecer una certificación mutua ya que cada estación comprobará que el servidor de autenticación sea legítimo. TTLS Es necesario configurar las estaciones de los usuarios para que se realice una autenticación mutua antes de realizar la transferencia de credenciales, de tal manera estas credenciales no se enviarán si el servidor no presenta un certificado válido. En sistemas Windows es necesario instalar la herramienta “WPA_Supplicant” para que administre la conexión inalámbrica en vista de que no ofrece compatibilidad con este EAP. En sistemas Linux y MAC OSX, no es necesario ya que si brindan compatibilidad con este protocolo. PEAP Para poder usar PEAP será necesario configurar en los clientes los parámetros de red que les permita establecer una comunicación únicamente con el servidor de autenticación que presente la identidad del servidor autorizado por la CA. El servidor deberá verificar las credenciales del cliente. Además el servidor deberá tener acceso a servidores LDAP y Active Directory para almacenar las credenciales de los usuarios. El servidor RADIUS, una vez autorizado el acceso, indicará otras opciones de red como VLANS a las que deberá ser agregado el usuario.

Casos en los que se despliega EAP MD5 No se recomienda el uso de este protocolo debido a que es muy inseguro

y además Windows ha dejado de ofrecer compatibilidad a partir de Vista. Sin embargo es común hallarlo en teléfonos IP, y es posible que algunos switches usen este método para enviar MABs (MAC Authetication Bypass) TLS Este método está siendo acogido ampliamente por las empresas que soporten BYOD en sus redes. TTLS Este método puede ser usado en ocasiones en las que no se pueda administrar un certificado a los clientes, por lo tanto usarán TLS para verificar que es el servidor autorizado y posteriormente usar un túnel codificado para transferir sus credenciales de acceso mediante el uso de otro protocolo. PEAP Este protocolo puede ser usado cuando las credenciales de acceso se encuentran registradas en tarjetas inteligentes o en tokens. Incluso puede ser usado para aprovechar la seguridad a nivel de transporte del lado del servidor y de esta forma admitir varios métodos de autenticación.

Conclusiones  Los protocolos de autenticación definidos bajo la EAP tienen características que buscan incrementar la seguridad de redes WLAN mediante la limitación del acceso a una red mediante el uso de credenciales.  El uso de certificados digitales otorgados por una autoridad certificadora

mejora la seguridad de autenticación en una red.  El uso de certificados digitales brinda grandes ventajas como la autenticación mutua del dispositivo y del servidor de red ya que un atacante puede crear una red con SSID idéntico de la red de una empresa y robar las credenciales enviadas por el dispositivo cuando intente auto conectarse con la red.  Los servidores de autenticación juegan un papel muy importante en la seguridad de la red ya que son los encargados de verificar las credenciales de un cliente. Referencias Arana, J., Villa, L., & Polanco, O. (16 de Mayo de 2013). Implementation of network access control by using authentication, authorization and accounting protocols. Ingeniería y Competitividad, 15(1), 127137. Recuperado el 23 de Enero de 2019, de http://www.scielo.org.co/pdf/inc o/v15n1/v15n1a12.pdf Chamorro, J. (2005 de Febrero de 24). Consideraciones para la implementación de 802.1x en WLANs. Bogota, Colombia. Intel. (3 de Agosto de 2018). Support: Intel. Obtenido de Intel: https://www.intel.com/content/w ww/us/en/support/articles/00000

6999/network-and-i-o/wirelessnetworking.html Microsoft. (14 de Enero de 2017). La implementación de Microsoft Extensible autenticación protocolo Message Digest 5 (EAP-MD5) ha quedado obsoleto de las versiones de Windows. Obtenido de Support: Microsoft: https://support.microsoft.com/es -co/help/922574/the-microsoftextensible-authenticationprotocol-message-digest-5-eap Woland, A. (12 de DICIEMBRE de 2012). Which EAP types do you need for which identity projects?:NetworkWorld:. Obtenido de NETWORKWORLD: https://www.networkworld.com/ article/2223672/accesscontrol/which-eap-types-do-youneed-for-which-identityprojects.html...